Società Banca Mediolanum Posizione Cybersecurity Governance Expert Responsabilità primarie Banca Mediolanum è un'organizzazione che ridefinisce il panorama finanziario con oltre tre decenni di innovazione. Attraverso le società che ne fanno parte, si dedica a fornire servizi finanziari, bancari e assicurativi su misura che rispondano alle esigenze uniche di ogni cliente. La Banca si impegna a costruire relazioni durature basate sulla fiducia, trasparenza e sull'attenzione ai dettagli. La nostra è una realtà dinamica, fondata su relazioni, responsabilità e libertà. La nostra cultura promuove la positività, la responsabilità e l'innovazione sostenibile. Siamo convinti che il successo di un'azienda sia il risultato del successo individuale dei suoi membri. In Gruppo Mediolanum ti offriamo più di un lavoro: l'opportunità di contribuire a un cambiamento positivo e di crescere insieme a noi. Siamo alla ricerca di una figura di “ Cybersecurity Governance Expert ”, sarà coinvolta nelle seguenti attività: Definizione e aggiornamento delle politiche di Information Security Monitoraggio dell'attuazione della strategia e delle policy di sicurezza del Gruppo e delle società controllate Conduzione di cyber security assessment e predisposizione della relativa documentazione di compliance Analisi dei rischi emergenti, nuovi requisiti normativi e iniziative di sicurezza intersettoriali e nazionali Attività di gap analysis e assessment rispetto a standard e baseline definite Supporto ai progetti di assurance per la verifica delle misure di sicurezza e l'identificazione di azioni correttive Valutazione della sicurezza dei fornitori (third party risk assessment) Sviluppo di programmi di cyber awareness per utenti tecnici e non tecnici Monitoraggio dell'efficacia formativa tramite KPI specifici (es. test di phishing) Creazione di cruscotti e report con metriche di sicurezza (KPI/KRI) Profilo competenze Requisiti Esperienza tra i 5-7 anni maturata in ambito ICT & Security Governance o ICT Risk Laurea in informatica/ingegneria o equivalenti Conoscenza dei framework (es. ISO 27001, NIST, ITIL, COBIT, PCI, ecc.) e delle normative di riferimento (es.Circolare 285, PSD2, GDPR, 262, 231 ecc.), con esperienze in termini di declinazione ed adozione. Pregressa esperienza in attività di definizione ed implementazione di metodologie di valutazione dei rischi informatici e di sicurezza. Pregressa esperienza in attività di redazione di policy e procedure di sicurezza e ICT, maturity assessment, benchmarking. Conoscenza di soluzioni di sicurezza informatica (i.e. SIEM, Identity & Access Governance, Data Security & Protection, IDS/IPS, Data Masking & Tokenization, ecc). Ottima conoscenza della lingua inglese. Certificazioni in ambito ICT/Security (es. ISO 27001, ITIL, ecc). Requisiti Tecnici Expertise in Security Architecture: Progettazione e hardening di architetture Zero Trust, SASE, e modelli di micro-segmentazione avanzata (es. VMware NSX, Illumio), Implementazione di sistemi di autenticazione federata (SAML/OAuth 2.0/OpenID Connect) e gestione di PKI/HSM (es. Thales, YubiKey). Offensive/Defensive Security. Esperienza diretta in red teaming: exploitation avanzato (es. Active Directory kerberoasting, DNS tunneling, fileless malware). Padronanza di tool per penetration test avanzati: Cobalt Strike, Metasploit Framework, BloodHound, Burp Suite (con estensioni custom). Cloud & Container Security: Hardening di ambienti AWS/Azure/GCP: configurazione di CloudTrail, GuardDuty, Azure Sentinel, e gestione di CSPM (Wiz, Prisma Cloud); Sicurezza di pipeline CI/CD: integrazione di SAST/DAST (Checkmarx, Snyk) e automazione con IaC (Terraform, CloudFormation), Protezione di cluster Kubernetes: policy OPA/Gatekeeper, runtime security (Falco), e gestione secrets (HashiCorp Vault) Threat Intelligence & Analytics: creazione di threat hunting playbook basati su MITRE ATT&CK e analisi di TTPs con piattaforme come MISP o Anomali, Configurazione di SIEM avanzati (Splunk ES, Elastic Security) e scrittura di regole di correlazione personalizzate (Sigma rules). Tool e Tecnologie Obbligatorie: OS & Network: Kali Linux, SELinux/AppArmor, Snort/Suricata, Zeek, Crittografia: Implementazione di schemi post-quantum (CRYSTALS-Kyber), gestione di HSM (Thales, AWS CloudHSM), Automazione: Scripting avanzato in Python/Bash per orchestrazione di workflow (TheHive, Cortex), integrazione API REST Cloud Native: Kubernetes RBAC, service mesh (Istio, Linkerd), e scanner di immagini (Trivy, Clair). Certificazioni Avanzate Richieste: Offensive Security: OSCP, OSCE, o CRTO (Certified Red Team Operator), Cloud Security: CCSK, AWS Certified Security – Specialty, o Azure Security Engineer; Architettura: SABSA (Chartered Security Architect) o GIAC Defensible Security Architecture (GDSA), Compliance Tecnica: ISO 27001 Lead Auditor, CISSP-ISSAP, o CISM. Nice to have Contributi a progetti open-source di sicurezza (es. OWASP, Sigstore). Conoscenza di firmware security (UEFI Secure Boot, TPM 2.0) e ambienti ICS/SCADA Aver condotto almeno 2 audit di compliance su infrastrutture ibride (on-premise multi-cloud) Aver sviluppato policy tecniche per la gestione di segreti (secrets management) e autenticazione MFA (FIDO2/WebAuthn) Sede di lavoro Basiglio – Milano 3 City; possibilità di parziale Smart Working. I dati richiesti verranno trattati nell’assoluto rispetto delle disposizioni contenute nel Regolamento Europeo 679/2016 (General Data Protection Regulation - “GDPR” o “Normativa Privacy”) e sue successive modificazioni ed integrazioni. E’ possibile visionare l’informativa di Banca Mediolanum SPA, accedendo al seguente link: https://www.bancamediolanum.it/privacy/candidature. Il Gruppo Mediolanum si impegna a garantire la parità di trattamento a tutti i candidati secondo i principi di Diversity and Inclusion.